Разработчики Google представили Chrome версии 86.0.4240.183 для Windows, Mac и Linux, в которой устранили 10 различных уязвимостей, включая 0-day проблему, уже активно используемую хакерам.
Баг получил идентификатор CVE-2020-16009 и был обнаружен специалистами Threat Analysis Group (TAG), внутренней командой безопасности Google, задача которой — отслеживать злоумышленников и их текущие операции. По имеющимся данным, выявленная проблема была связана с работой JavaScript-движка V8 и допускает удаленное выполнение произвольного когда (RCE).
Пока подробности об уязвимости и ее эксплуатации не разглашаются. Стоит заметить, что это обычная практика для Google: специалисты компании могут месяцами «молчать» о технических деталях багов, чтобы не давать злоумышленникам подсказок и позволить пользователям спокойно установить обновления.
Нужно сказать, что две недели назад специалисты Google устранили еще одну 0-day уязвимость в своем браузере. Ошибка тоже была обнаружена внутри компании, специалистами Google Project Zero. Она получила идентификатор CVE-2020-15999 и была связанна с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Известно, что баг связан с нарушением целостности информации в памяти.
Напомню, что CVE-2020-15999 использовалась в связке с другой 0-day уязвимостью — CVE-2020-17087, серьезным багом, обнаруженным в ядре Windows. Так, уязвимость в Chrome применялась для запуска вредоносного кода внутри браузера, а нулевой день в Windows пускали в ход во время второй части атаки, что позволяло злоумышленникам покинуть безопасный контейнер Chrome и выполнить код уже на уровне ОС (то есть осуществить побег из песочницы). Ожидается, что Microsoft исправит эту проблему 10 ноября, в рамках «вторника обновлений».
Источник: xakep.ru/2020/11/03/one-more-zero-day/
Баг получил идентификатор CVE-2020-16009 и был обнаружен специалистами Threat Analysis Group (TAG), внутренней командой безопасности Google, задача которой — отслеживать злоумышленников и их текущие операции. По имеющимся данным, выявленная проблема была связана с работой JavaScript-движка V8 и допускает удаленное выполнение произвольного когда (RCE).
Пока подробности об уязвимости и ее эксплуатации не разглашаются. Стоит заметить, что это обычная практика для Google: специалисты компании могут месяцами «молчать» о технических деталях багов, чтобы не давать злоумышленникам подсказок и позволить пользователям спокойно установить обновления.
Нужно сказать, что две недели назад специалисты Google устранили еще одну 0-day уязвимость в своем браузере. Ошибка тоже была обнаружена внутри компании, специалистами Google Project Zero. Она получила идентификатор CVE-2020-15999 и была связанна с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Известно, что баг связан с нарушением целостности информации в памяти.
Напомню, что CVE-2020-15999 использовалась в связке с другой 0-day уязвимостью — CVE-2020-17087, серьезным багом, обнаруженным в ядре Windows. Так, уязвимость в Chrome применялась для запуска вредоносного кода внутри браузера, а нулевой день в Windows пускали в ход во время второй части атаки, что позволяло злоумышленникам покинуть безопасный контейнер Chrome и выполнить код уже на уровне ОС (то есть осуществить побег из песочницы). Ожидается, что Microsoft исправит эту проблему 10 ноября, в рамках «вторника обновлений».
Источник: xakep.ru/2020/11/03/one-more-zero-day/